Accès en SSH mais pas à la web admin (pb de sécurité), malgré le succès d'installation du certificat, et l'ajout du domaine dans etc/hosts

Bonjour,

Mon serveur YunoHost

Matériel: Raspberry Pi à la maison
Version de YunoHost: 4.4.2
J’ai accès à mon serveur : En SSH
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Type nom de domaine : domaine en nohost . me

Description du problème

Lorsque le certificat arrive à expiration, d’habitude, je n’ai qu’a lancer la ligne de commande yunohost domain cert-renew --no-checks pour que cela fonctionne. Mais là, je ne sais pas ce qui m’est passé par la tête, j’ai utilisé aussi la méthode décrite sur la page de documentation d’installation d’un certificat pour que le certificat soit généré, et pour que le site soit de nouveau accessible depuis l’extérieur comme depuis l’intérieur derrière une livebox orange. Mais là, j’ai du faire une erreur de saisie ou je ne sais pas quoi, car depuis que j’ai lancé les lignes de commance, mon serveur n’est accessible qu’en SSH en ligne de commande. La web admin depuis l’intérieur m’indique que le site a un problème de sécurité (Firefox bloque avec un beau message “Attention : risque probable de sécurité”) et lorsque je clique sur “avancé” puis sur “afficher le certificat” je tombe sur une page qui montre deux certificats pour mon site:

  • le premier certificat avec une date de validité en cours, mais dont l’autorité de certification n’est pas vérifiée (“non”)
  • le second certificat avec une date de validité expirée, avec une autorité de certification vérifiée (“oui”)

Les tentatives de résolutions que j’ai essayées

Je suis allé voir du côté de la page de documentation de récupération de l’accès à son yunohost. pour voir ce qui est préconisé.

  1. J’ai relancé la commande d’installation de certificat. La procédure retourne un succès (Success! Self-signed certificate now installed for the domain), aucun warning, excepté un message yunohost domain cert-install' is deprecated and will be removed in the future
  2. J’ai vérifié que les ports étaient Ok. UPnP est activé sur ma box. J’ai lancé la commande sudo yunohost firewall reload qui m’a retourné un succès Success! Firewall reloaded
  3. J’ai regardé si il y avait un banissement comme expliqué dans la page de documentation pour débannir une adresse, mais il n’y a aucun ban qui apparaît dans le log
  4. J’ai regardé le statuts de nginx via la commande yunohost service status nginx, et cela me retourne que tout est ok

Les précautions de sauvegarde que j’ai prises

En ligne de commande via SSH, j’ai fait une sauvegarde de mon yunohost complet, et j’a récupéré cette sauvegarde sur mon PC.
Je peux donc, si c’est trop compliqué, ré-installer un yunohost tout beau (après avoir demandé la suppression de mon domaine en hohost . me selon la procédure habituelle)

À ce stade, je bloque.
Avant de ré-installer, j’aimerais savoir s’il y avait un moyen de réparer mes bêtises …
Merci pour votre aide

Essaie sudo yunohost domain cert install <ton domaine> --no-checks

Merci @tituspijean .
J’étais persuadé d’avoir déjà essayé cette commande.
J’avais essayé cette commande, mais avec un tiret entre cert et install.
Cela fait-il une différence ? Ou bien est-ce un autre phénomène qui fait que ce coup-ci, cela a fonctionné ? Mystérieux ?
en tous les cas “merci beaucoup”, :pray:
Top !

Tu as en fait appliqué cette méthode “En cas de problème”, qui indique que ça génère un certificat auto-signé, d’où les alertes de ton navigateur, qui s’attendait à un certificat Let’s Encrypt protégé avec HSTS (ça bloque l’usage d’autres certificats). Nous devrions mettre la documentation à jour sur ce point, si on bascule d’un certificat LE à un auto-signé, il faut absolument supprimer les données relatives au site dans le navigateur. Dans Firefox, il suffit de faire un clic droit puis sélectionner “Oublier ce site” dans l’historique.

Le --self-signed de la commande est important ici. Il ne faut pas le mettre pour avoir un certificat valide pour le plus grand monde.

Le cert-install est en effet juste déprécié, mais ce n’est qu’un avertissement. La bonne syntaxe est maintenant cert install.

Ok. Super pour ces explications.
Je me suis donc trompé dans la mise à jour du certificat en ligne de commande.
J’ai généré un certificat “auto-signé” au lieu de continuer à utiliser le certificat lets encrypt.

Je ne me sens pas assez sûr de moi sur ces aspects pour proposer une modification de la doc … Mais cela aurait été avec plaisir.
Merci encore.

1 Like